H0lyGh0st Ransomware

Ransomware H0lyGh0st ialah ancaman membimbangkan yang sedang digunakan dalam serangan terhadap PKS (Perusahaan Kecil dan Sederhana). Pengendali ancaman itu dipercayai kumpulan penggodam Korea Utara yang aktivitinya dijejaki sebagai DEV-0530 oleh penyelidik keselamatan siber di Pusat Perisikan Ancaman Microsoft (MSTIC). Menurut penemuan mereka, kumpulan penggodam telah aktif sejak sekurang-kurangnya Jun 2021 dan telah berjaya menjangkiti perniagaan dari pelbagai negara.

Ancaman H0lyGh0st (aka HolyGhost) direka untuk menyulitkan data yang ditemui pada peranti yang dilanggar dan menjadikannya tidak boleh digunakan sepenuhnya. Setiap fail yang dikunci akan ditanda melalui penambahan '.h0lyenc' pada nama asalnya sebagai sambungan baharu. Ancaman itu kemudiannya akan mencipta fail HTML bernama 'FOR_DECRYPT.html' pada sistem yang dijangkiti. Membuka fail akan memaparkan nota tebusan dengan arahan untuk mangsa.

Mesej yang ditinggalkan oleh H0lyGh0st Ransomware mengarahkan sasaran yang terjejas tentang cara menghubungi penggodam terutamanya. Ia menyebut alamat e-mel di 'H0lyGh0st@mail2tor.com,' tetapi saluran komunikasi utama nampaknya adalah tapak web khusus yang dihoskan pada rangkaian TOR. Biasanya, pengendali ancaman menerima pembayaran yang dibuat dalam Bitcoin sahaja dan menjalankan skim pemerasan berganda. Ini bermakna selain mengunci data mangsa mereka, penjenayah siber juga mengumpul data sensitif yang akan mereka ugut untuk didedahkan kepada orang ramai jika tuntutan mereka tidak dipenuhi.

Teks penuh nota H0lyGh0st Ransomware ialah:

'H0lyGh0st

Sila Baca teks ini untuk menyahsulit semua fail yang disulitkan.

Jangan risau, anda boleh memulangkan semua fail anda.

Jika anda ingin memulihkan semua fail anda, Hantar mel ke H0lyGh0st@mail2tor.com dengan Id anda. ID anda ialah
Atau pasang pelayar tor dan hubungi kami dengan id atau nama syarikat anda (Jika semua pcs dalam syarikat anda disulitkan).

Tapak kami : H0lyGh0stWebsite

Perkhidmatan Kami

Selepas anda membayar, Kami akan menghantar pembuka kunci dengan kunci penyahsulitan

Perhatian!

Jangan menamakan semula fail yang disulitkan.

Jangan cuba menyahsulit data anda menggunakan perisian pihak ketiga, ia boleh menyebabkan kehilangan data kekal.

Penyahsulitan fail anda dengan bantuan pihak ketiga boleh menyebabkan kenaikan harga.

Antivirus mungkin menyekat pembuka kunci kami, Jadi lumpuhkan antivirus dahulu dan jalankan pembuka kunci dengan kunci penyahsulitan.'